Creatorii TrickBot si- au actualizat malware-ul cu o functionalitate noua, ce poate viza dispozitivele Linux prin instrument de comanda si control - Anchor_DNS respectiv Anchor_Linux.
În timp ce TrickBot a inceput initial ca un troian bancar, malware-ul a evoluat prin raspândirea in retea, prin furtul credentialelor salvate in browsere, furtul cookie-urilor si infectarea dispozitivelor Linux si Windows.
TrickBot (Trojan.TrickBot) se infiltreaza in retele pentru a fura date si pentru a implementa ransomware precum Ryuk si Conti ce cripteaza dispozitivele din retea ca stadiu final al atacului.
Pe lânga faptul ca actioneaza ca un backdoor care poate fi folosit pentru a rula malware pe dispozitivele Linux, malware-ul contine si executabilul Windows TrickBot care poate fi folosit pentru a infecta masini Windows din aceeasi retea.
Odata copiat pe un dispozitiv Windows, Anchor_Linux se configureaza ca un serviciu Windows. Dupa configurare, malware-ul este redat in gazda Windows si se conecteaza inapoi la serverul C&C al unui atacator, unde primeste comenzi de executare.
TrickBot pentru Linux poate afecta multe dispozitive IoT , inclusiv routere, dispozitive VPN si dispozitive NAS ce ruleaza pe Linux.
Utilizatorii Linux pot afla daca au fost infectati cautând un fisier /tmp/anchor.log
in sistemele lor.